27 junio 2013

La supuesta 'back-door' de la NSA en Windows

Últimamente mucho se está hablando sobre el espionaje de EEUU hacia el resto del mundo a través de PRISM, salen a la luz herramientas, historias, teorías ...

Al calor de todo esto me he encontrado un post que narra una historia bastante antigua. Yo recuerdo la historia vagamente, de los tiempos del irc y el canal #hackers, me refiero al 'caso NSAKEY'.

Realmente en esa época no llegué a enterarme de los detalles técnicos subyacentes, recuerdo el nombre y que generó cierta polémica.

Ahora, con el post antes mencionado, he podido adquirir mas contexto de lo que pasó y me parece interesante compartirlo.

Eran finales de los años 90, la informática estaba dominada exclusivamente por Windows y los usuarios de linux eran de dos tipos: o gente muy técnica, o gente muy snob intentando aparentar ser técnica. 

En esa época un experto en seguridad de origen británico llamado Dr Nicko van Someren encontró evidencias de una puerta trasera en Windows, algo que no era para nada descabellado puesto que Lotus, en su aplicación 'Lotus Notes' destinada al mercado extranjero, ya había incluido una puerta trasera en su software para hacerle el juego a la NSA.

Pero el descubrimiento más mediático vino después: En los años del -mítico- sistema operativo Windows NT 4.0, durante la liberación del service-pack 5, los técnicos de Microsoft olvidaron eliminar los 'símbolos de debug', es decir entregaron los ejecutables y librerías con valiosa información interna que suele estar ahí a efectos de depuración pero que normalmente se suele eliminar en la 'release final'.

A partir de esas 'facilidades', un investigador llamado Andrew Fernandez, verificó la existencia de la primera key descubierta anteriormente (de nombre KEY) y además encontró evidencias de una segunda key (con el nombre NSAKEY), incluso se llegó a hablar de una tercera key

¿Y que se supone que hacían estas claves ocultas en Windows? No he podido encontrar información técnica fiable al respecto, según se lee en el artículo original, hablan de que esas claves se habían encontrado en la dll 'ADVAPI.DLL'

Esta DLL contiene las funciones para muchas muchas cosas que van desde temas criptográficos, permisos a ficheros, gestión de procesos y servicios, y un largo etc.

A partir de esas averiguaciones, la comunidad quedó partida en dos frentes: Los conspiranoicos, (es fácil elaborar teorías relacionando NSA + sistema operativo líder + caso previo Lotus), y por otra parte aquellos que pensaban que todo esto era para añadir funciones criptográficas especiales a sistemas Windows para ser empleados por el gobierno de los EEUU.

A falta de información empírica, prefiero no opinar

11 comments :

Eduardo Robles Elvira Edulix dijo...

¿Nos puedes contar algo sobre ese "caso previo lotus"?

María García dijo...

Ha puesto el enlace a la noticia...

María García dijo...

Pero también ya salieron casos de ordenadores americanos fabricados en China, que venía con backdoors de fábrica ¿no? Eso son las cosas que van saliendo. Que lo que habrá que no se sepa...

Yo estoy convencida de que nos espían por todos lados. Y no me creo que no lo hagan, ni aunque me lo juren por Snoopy.

Lo bueno de ser una persona poco importante es que qué les importará a ellos lo que yo haga. Y que aunque les importe, no iban a sacar nada. Mientras no usen mis datos para crearse una "mujer de paja" y cargarme con cosas que yo no he hecho (como en las pelis tipo "Con la muerte en los talones")... Que me espíen, a mí plin.

Alfonso Muñoz dijo...

Hombre, la opcion conspiranoica en este tema no es descabellada si se tiene encuenta, como comentas, ejemplos pasasados o experiencias de desarrolladores (terceros) que han realizado software criptográfico para Microsoft. El caso de Hugo Scolik (afirmado en alguna entrevista y a nosotros en persona) afirma como su software criptográfico desarrollado para Microsoft era enviado antes a la NSA. Pensando bien esto simplemente podría ser un acuerdo entre Microsoft-NSA para certificar la seguridad de según que software especialmente al utilizarse en un sistema operativo de amplia difusión en su administración. Hugo tenía claro que el objetivo no era precisamente esa...

Arrr dijo...

A mi la verdad me parece curiosa esta actitud tan pasiva de "no me afecta". Yo no creo que lo grave sea que alguien de la NSA vaya a ver tus fotos íntimas o leer el log del chat, evidentemente somos tantos y tan prescindibles que eso no te va a ocurrir (o si, teniendo en cuenta que el prism este hará un filtrado de la información que le llegue y antes tendrá que leerla).
Lo grave está en sus implicaciones éticas, en que un gobierno crea tener el derecho para espiar a todo el mundo y excusarlo bajo la amenaza del terrorismo, del mismo modo que aquí se han producido recortes en recursos básicos bajo la amenaza de la crisis.



No podemos dejar que las personas hagan y deshagan a su antojo acciones inmorales tan solo porque no nos afecte personalmente.

María García dijo...

Tienes razón en lo que dices. Es que es un poco de mecanismo de resignación ante el Coloso. La actitud que tienen puede que no sea buena. Pero creo que hay problemas más importantes en la vida; y, en mi caso particular, no me afecta mucho. Ya me encargo yo de no poner (si fuera el caso) nada en internet que no quiera, bajo ningún concepto, que se sepa.

¿Fotos íntimas? Pues si se divierten viendo mis fotos de las vacaciones, que les aproveche. Porque otra cosa...



Se me ocurre otra cosa: si un servio de inteligencia de otro país que no sea EE.UU. revisa la versión Windows para ese país, ¿lo hará para ver que no tenga back-doors o para pedir que le pongan las suyas propias? Como no tengo información empírica, tampoco opino.

rvasquezgt dijo...

Todos somos targets de evaluacion, porque todos representamos un riesgo para la seguridad nacional hasta demostrarse lo contrario. Dicho esto ya soy un target de estudio xD

wiredrat dijo...

Precisamente hace poco escribí sobre este caso para un cliente contando lo mismo, pero añadí la respuesta de Microsoft:

Microsoft respondió (http://web.archive.org/web/20000520001558/http://www.microsoft.com/security/bulletins/backdoor.asp) a este articulo indicando que dichas claves existían en el código y que eran usadas para firmar CSPs (Cryptographic Service Providers). Estas claves permiten autentificar la instalación de CSPs de una manera análoga a la firma de controladores de dispositivos que se realiza en las versiones actuales de Windows.

Microsoft alegaba que estas claves eran de propiedad y uso exclusivo de Microsoft y que en ningún momento se compartían con terceras partes. Jusitificaba que la existencia de ambas claves y del desafortunado nombre escogido se debía a las exigencias de la NSA, como autoridad técnica de revisión, para la exportación de algoritmos criptográficos.

Por cierto, la clave tiene entrada en la wikipedia: http://en.wikipedia.org/wiki/NSAKEY

Car dijo...

En aquellos tiempos no seria en absoluto descabellado el pensar que nos espiaban mediante el uso de Backdoors en el SO Windows puesto que como bien dice el articulo el monopolio de Microsoft era absoluto, ademas y como quien dice la informatica ya se estaba expandiendo al usuario de casa y eso para muchos gobiernos era un caramelo demasiado apetecible asi que si he de mojarme en este asunto pienso que SI, por supuesto que hemos sido espiados ademas quien no recuerda a Echelon ese engendro parido por EEUU. Quiero creer que hoy en dia las cosas están mas controladas pero quien sabe lo que el futuro nos deparara, por cierto os acordáis del caso Truecrypt, si buscáis información aquí mismo en SBD hay algo, saludos.

droopyar dijo...

Confirmo que es verdad la noticia. Programadores de la NSA junto a Microsoft incorporaron un patron secreto.

jesuh sierra martinez dijo...

tiposss de virus ostiiasss!